Два провайдера - две сети непересекающихся

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Denis.Smirnov
Сообщения: 7
Зарегистрирован: 16 апр 2021, 12:59

xvo писал(а): 16 апр 2021, 13:18 А в чем проблема? Делаете NAT с какими-нибудь условиями в разные адреса. Зачем тут вообще несколько маршрутов?

А по вопросу 2 wan от одного провайдера, вроде бы достаточно к gateway в маршрутах добавлять уточнение %название_интерфейса.
Это если адрес gateway одинаковый.
Спасибо большое за направление, а то я завис на маркировании пакетов. Всё получилось.
Вместо :
/ip firewall
nat add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.120.0/24
add action=masquerade chain=srcnat out-interface=ether1 src-address=10.0.0.0/24
прописал:
/ip firewall
add action=src-nat chain=srcnat src-address=10.0.0.0/24 to-addresses="мой первый IP адрес на ether1"
add action=src-nat chain=srcnat src-address=192.168.120.0/24 to-addresses="мой второй IP адрес на ether1"


Denis.Smirnov
Сообщения: 7
Зарегистрирован: 16 апр 2021, 12:59

Добрый день.
Возникла еще одна проблема: при настройках NAT вместо action=masquerade -> action=src-nat у меня перестали пинговаться клиентские сетки подкюченные по VPN. Клиенты могут пинговать хосты находящиеся за моим VPN сервером, а я перестал видеть клиентские.
Раньше трассировка шла вот так:
10.0.0.1 - локальный адрес бриджа моей сети
172.16.10.22 - адрес выдаваемый vpn клиенту
192.168.1.5 - адрес хоста сети за vpn
А теперь маршрут сразу заворачивается на wan адрес роутера клиента:
10.0.0.1 - локальный адрес бриджа моей сети
139.21.*.* - wan адрес vpn клиента
В Routes сначала был прописан маршрут dst-address=192.168.1.0/24 gateway=172.16.10.22 pref-src=10.0.0.1
пинги не шли, потом прописал dst-address=192.168.1.0/24 gateway="мой VPN interface" и пинги пошли до 192.168.1.5, но только с самого роутера. А из моей сети так и не пингуется хост 192.168.1.5
P.S. masquerade на интерфейсе all ppp включен.
Заранее благодарю за помощь.
Последний раз редактировалось Denis.Smirnov 23 апр 2021, 10:30, всего редактировалось 1 раз.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Во-первых, зачем в маршруте до удаленной сети pref-source, да ещё и с локальным адресом?Уберите.
Во-вторых, что это вообще за сеть 10.0.200.0/24 - где она находится и какое отношение маршрут до нее имеет к 192.168.1.0/24?


Telegram: @thexvo
Denis.Smirnov
Сообщения: 7
Зарегистрирован: 16 апр 2021, 12:59

xvo писал(а): 23 апр 2021, 09:16 Во-первых, зачем в маршруте до удаленной сети pref-source, да ещё и с локальным адресом?Уберите.
Во-вторых, что это вообще за сеть 10.0.200.0/24 - где она находится и какое отношение маршрут до нее имеет к 192.168.1.0/24?
pref-source убрал, пинги идут только с самого роутера до хостов за VPN.
Сории 10.0.200.0/24 - это я не из того конфига строчку скопировал.
Фраза теперь звучит так "потом прописал dst-address=192.168.1.0/24 gateway="мой VPN interface" и пинги пошли до 192.168.1.5, но только с самого роутера."


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

А маскарад на ppp-интерфейсы то при этом не выключали?
Если на другой стороне туннеля маршрута до вашей внутренней сети нет, то маскарад нужен.


Telegram: @thexvo
Denis.Smirnov
Сообщения: 7
Зарегистрирован: 16 апр 2021, 12:59

xvo писал(а): 23 апр 2021, 10:49 А маскарад на ppp-интерфейсы то при этом не выключали?
Если на другой стороне туннеля маршрута до вашей внутренней сети нет, то маскарад нужен.
Маскарад включен "add action=masquerade chain=srcnat out-interface=all-ppp"
С другой стороны туннеля ресурсы моей сети видны - всё пингуется как с роутера клиента, так и с рабочих станций их сети.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Эмм... не понятно, тогда этот маскарад похоже не при делах.
И там получается есть маршрут до вашей сети, иначе работать не должно.

А firewall на удаленном роутере точно разрешает доступ с адресов вашей локалки?
Ну и на всякий случай - что вы там пингуете? Если виндовые компы, то на них по-умолчанию как раз таки firewall и не даст пинговать не из своей подсети.


Telegram: @thexvo
Denis.Smirnov
Сообщения: 7
Зарегистрирован: 16 апр 2021, 12:59

xvo писал(а): 23 апр 2021, 12:37 А firewall на удаленном роутере точно разрешает доступ с адресов вашей локалки?
Ну и на всякий случай - что вы там пингуете? Если виндовые компы, то на них по-умолчанию как раз таки firewall и не даст пинговать не из своей подсети.
Точно всё разрешено.
Еще раз повторюсь при такой строчке NAT "add action=masquerade chain=srcnat out-interface=ether1 src-address=10.0.0.0/24" все пинги ходят до клиентов за VPN без проблем.
Если меняю на "add action=src-nat chain=srcnat src-address=10.0.0.0/24 to-addresses=Мой внешний IP адрес", то только с роутера идут пинги, а вот уже компы из моей сети (10.0.0.0/24) НЕ пингуют клиентов за VPN. (((


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Ну так у вас во втором правиле out-interface=ether1 забыто.


Telegram: @thexvo
Denis.Smirnov
Сообщения: 7
Зарегистрирован: 16 апр 2021, 12:59

mrrc писал(а): 23 апр 2021, 20:03 Denis.Smirnov, используйте masquerade, не везде этот src-nat to-addresses применим.
Добрый день. Не могу использовать masquerade в чистом виде, т.к. у меня на интерфейсе висит пул ip адресов от одного провайдера.
xvo писал(а): 23 апр 2021, 15:01 Ну так у вас во втором правиле out-interface=ether1 забыто.
Добрый день. Конечно, Вы как всегда оказались правы. Прописал out-interface=ether1 и все пинги отлично пошли внутри VPN, и перестали рваться наружу.
Спасибо Вам огромное XVO!


Ответить